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5 PROCEDE ET DISPOSITIF DE CERTIFICATION 



1 0 La presente invention conceme un precede et iin dispositif de certification. 

En particulier, la presente invention conceme la transmission de donnees en ligne, par 
exemple sur le reseau Intemet. 

Du fait de sa nature ouverte, Intemet a augmente les besoins de securite de 
transmission de donnees. En effet, Tarchitecture meme de Tlntemet le rend 
1 5 particulierement vulnerable : le protocole IP, totalement decentralise, fait circuler les 
"datagrammes"ou paquets sans qu'ils soient proteges. Les adresses IP elles-memes, 
gerees par les DNS (Domain Name Servers pour serveurs de noms de domaines), ne sont 
pas a Tabri d'actions de malveillance. Les systemes d'exploitation ont des failles de 
securite. D'ou une liste impressionnante de menaces : 
20 - ecoutede paquets ou "sniffing"; 

- substitution de paquets ou "spoofmg"; 
piratage de DN S ; 
deni de service; 
intrusions; et 

25 . dissemination de progranmies malveillants, vims et chevaux de Troie. 

La cryptologie n'a pas reponse a toutes ces questions. En cryptologie, une 
cle est inseree au moment du chiffrement des donnees afin d'assurer la confidentialite de 
celles-ci. Les dififerentes normes de securite disponibles, pour le courrier electronique, 
pour les sessions de communication du web (SSL ou Secure Socket Layer pour couche de 

30 s6curit6), pour le protocole IP lui-meme (IPsec), mettent en oeuvre tout i'arsenal des 
methodes modemes : authentification et signature, echange de cl6 conventioimelle, 
chiffirement symetrique. Des centaines de millions de cles RSA ont ainsi ete produites. 

II se pose alors de nouveaux problemes : comment gerer ces cles ? Conune 
le note Jacques Stem, Directeur du Departement Informatique de TEcole Normale 




Superieure "il est illusoire d'utiliser un chiffrement RSA en laissant trainer ses cles 
secretes sur un disque dur mal protege contre les intrusions" (Dans un article public dans 
Le Monde date du 12 septembre 2000). En outre se pose la question de Her une cle 
publique RSA a son proprietaire legitime. 

La presente invention entend remedier a tout ou partie de ces 
inconvenients. A cet effet, la presente invention vise, selon un premier aspect, un procede 
de certification, caract^rise en ce qu'il comporte : 

- une operation de transmission de donnees depuis un systeme informatique 
emetteur a un systeme informatique recepteur, sur un premier support de 
communication, 

- une operation de generation d'une trace desdites donnees representatives 
desdites donnees, par le systeme informatique recepteur, 

- une operation de transmission d*une partie de ladite trace a un dispositif de 
communication, sur un deuxieme support de communication different du 
premier support de commimication, 

- ime operation de reception de ladite partie de trace par le systeme informatique 
emetteur, 

- une operation de transmission de ladite partie trace depuis le systeme 
informatique emetteur au systeme informatique recepteur, et 

. une operation de verification de la correspondance de la partie de trace re9ue 
par le systeme informatique recepteur avec la trace generee par le systeme 
informatique recepteur. 

Grace a ces dispositions, la partie de trace est liee auxdites donnees et pent 
servir a detecter une modification ulterieure desdites donnees. 

Selon des caracteristiques particuliferes du procede tel que succinctement 
expose ci-dessus, ladite trace est representative d'lm condensatdesdites dormees. 

Grace k ces dispositions, la partie de trace permet de detecter toute 
modification ulterieure desdites donn6es. 

Selon des caracteristiques particuliferes, le proc6de tel que succinctement 
expose ci-dessus comporte une operation de transmission d'un identifiant d*un utilisateur 
du systeme informatique Emetteur. 

Grace £i ces dispositions, une authentification de Tutilisateur du systeme 
informatique emetteur ou une signature 61ectronique peuvent etre efifectu6es. 




Selon des caracteristiques particulieres, le precede tel que succinctement 
expose ci-dessus comporte une operation de mise en correspondance dudit identifiant 
avec une adresse du dispositif de communication sur le deuxieme support de 
communication. 

5 Grace ces dispositions, Tadresse du dispositif de communication est une 

adresse qui correspond a I'utilisateur du systeme informatique emetteur, 

Selon des caracteristiques particulieres du procede tel que succinctement 
expose ci-dessus, ladite trace est representative d'une cle privee conservee par le systeme 
informatique recepteur. 

1 0 Grace a ces dispositions, le systeme informatique recepteur effectue une 

signature desdites donnees. 

Selon des caracteristiques particulieres, le procede tel que succinctement 
expose ci-dessus, comporte ime operation de mise en correspondance dudit identifiant 
avec ladite cl€ privee. 

1 5 Grace a ces dispositions, le systeme informatique recepteur effectue une 

signature desdites donnees au nom de Tutilisateur du systeme informatique emetteur. 

Selon des caracteristiques particulieres, le procede tel que succinctement 
expose ci-dessus, comporte vme operation de troncature de ladite trace, et en ce que au 
cours de Top^ration de transmission d'au moins ime partie de ladite trace, le r6sultat de 
20 ladite troncature est transmis. 

Grace a ces dispositions, la partie de ladite trace comporte moins de 
symboles que ladite trace. 

Selon des caracteristiques peirticulieres du procede tel que succinctement 
expose ci-dessus, le premier support de communication est Tlntemet. 
25 Grace a ces dispositions, les donnees peuvent etre transmises depuis 

n'importe quel systeme informatique relie a Tlntemet. 

Selon des caracteristiques particulieres du procede tel que succinctement 
expose ci-dessus, le deuxieme support de communication est un reseau sans fil. 

Grace a ces dispositions, Fauthentification de Tutilisateur du systeme 
30 informatique emetteur peut fitre effectuee en tout lieu. 

Selon des caracteristiques particulieres du proc6de tel que succinctement 
expose ci-dessus, au cours de Toperation de transmission desdites donnees, un identifiant 
d'un systeme informatique destinataire est transmis, ledit procede comportant une 




operation de transmission desdites donnees depuis le systeme informatique r6cepteur a un 
systeme informatique destinataire. 

Grace a ces dispositions, le systeme informatique recepteur peut servir 
d'intermediaire dans une transmission entre le systeme informatique emetteur et ie 
systeme informatique destinataire. II peut, en outre, assurer des fonctions de datage, de 
notarisation ou de certification de remise en main propre au destinataire desdites donnees. 

Selon des caracteristiques particulieres, le proc^de tel que succinctement 
expose ci-dessus comporte une operation de mise en correspondance desdites donnees 
avec une cle publique et en ce que au cours de I'operation de transmission desdites 
donnees audit systeme informatique destinataire, ladite cle publique est transmise. 

GrSce a ces dispositions, Le destinataire desdites donnees peut verifier 
I'identite de Temetteur desdites donnees, par la mise en oeuvre de la cle publique. 

Selon des caracteristiques particulieres, le proc6de tel que succinctement 
expose ci-dessus comporte ime operation de generation d'une information confidentielle 
par le systeme informatique recepteur et une operation de transmission k un deuxieme 
dispositif de communication d'une information confidentielle a une dispositif de 
communication sur le deuxieme support de communication, par le systeme informatique 
recepteur, une operation de reception de ladite information confidentielle par le systeme 
informatique recepteur, sur le premier moyen de conununication et une operation de 
verification de correspondance entre Tinformation confidentielle transmise par le systeme 
informatique recepteur avec Tinformation confidentielle refue par le systeme 
informatique r6cepteur. 

GrSce a ces dispositions, le destinataire desdites donnees est authentifi6. 

La pr6sente invention vise aussi un dispositif de certification, caracterise 

en ce qu'il comporte : 

. vm moyen de transmission de donnees depuis un systeme informatique 
6metteur a un systeme informatique recepteur, sur im premier support de 
commimication, 

- un moyen de generation d'un trace desdites donn6es representatives desdites 
donnees, par le systeme informatique recepteur, 

- un moyen de transmission d'au moins une partie de ladite trace a un dispositif 
de communication, sur un deuxieme support de communication different du 
premier support de conununication, 

- un moyen de reception de ladite trace par le systeme informatique emetteur. 



- un moyen de transmission de ladite trace depuis le systeme informatique 
emetteur au systeme informatique receptevir, et 

un moyen de verification de la correspondance de la trace refue par le systeme 
informatique recepteur et de la trace generee par le systeme informatique 
5 recepteur. 

Les caracteristiques particulieres et les avantages dudit dispositif 
correspondent aux caracteristiques particulieres et avantages du proced6 tels que 
succinctement expose ci-dessus. 

D'autres avantages, buts et caracteristiques de la presente invention 
1 0 ressortiront de la description qui va suivre faite en regard du dessin annexe dans lequel : 
la figure 1 represente une succession d' operations effectuees par un terminal 
utilisateur et un serveur de certification, dans vin mode de realisation 
particulier de la presente invention ; 

la figure 2 represente une succession d'operations effectuees par un terminal 
1 5 utilisateur et le serveur de certification, dans un autre mode de realisation 

particulier de la presente invention ; 

la figure 3 represente une succession d'operations effectuees par un terminal 
utilisateur et le serveur de certification, dans un autre mode de realisation 
particulier de la presente invention ; et 
20 - la figure 4 represente un organigranune de mise en oeuvre d'un autre mode de 

realisation de la presente invention. 

En figure 1 sont representes un poste utilisateur ou systeme informatique 
emetteur 100, une application Internet 1 10, une salle blanche 120, ime memoire de 
stockage 130, un deuxieme reseau de communication 140 et un recepteur 150 sur le 
25 deuxieme reseau de communication 140. La salle blanche 120 comporte une protection 
pare-feu (en anglais "firewall") 160, un serveur de securite 170 et un generateur de 
certificats 180. Les operations effectuees dans le mode de realisation particulier illustre en 
figure 1 sont representees dans des rectangles et nimierotees de 1 a 12. L'application 
Intemet 1 10 et la salle blanche 120 sont conjointement appele systeme informatique 
30 recepteur. 

Le poste utilisateur 100 est, par exemple, un ordinateur personnel (PC), im 
ordinateur de reseau (NC) ou un assistant num6rique personnel (en anglais Personal 
Digital Assistant ou PDA). Le poste utilisateur 100 est dote d'un logiciel de 
conmiunication a distance pour mettre en oeuvre Tapplication Intemet 1 10, conjointement 




avec le serveur de securite 170. Ce logiciel de communication a distance peut etre un 
logiciel de navigation ou un logiciel de courrier electronique, par exemple. 

L'application Internet 1 10 permet la communication entre le poste 
utilisateur 100 et le serveur de securite 170 et la transmission de donnees depuis le poste 
5 utilisateur 100 vers la mdmoire de stockage 130, par exemple par I'intermediaire du 

serveur de securite 170. La salle blanche 120 est un espace protege contre toute intrusion 
physique, telle qu'une salle de coffre d'une banque. La memoire de stockage 130 est une 
memoire adaptee a conserver des donnees pendant une longue periode, qui depasse une 
annee. 

1 0 Le deuxieme reseau de communication 140 est, par exemple, un reseau 

telephonique et, encore plus particulierement un reseau de telephonic mobile ou de 
recepteurs alphanumeriques communement appeles "pageurs". Le deuxieme reseau 140 
est appele "deuxieme" par comparaison avec le reseau Intemet, que Ton nomme aussi 
"premier" reseau dans la suite de la presente demande de brevet. Le deuxieme reseau 140 

1 5 est adapte a transmettre une cle ou certificat depuis Je serveur de securite 1 70 jusqu'au 
recepteur 150. Le recepteur 150 sur le deuxieme reseau 140 peut, selon le type de 
deuxieme reseau 140, etre un telephone mobile, un pageur ou un recepteur quelconque. 
Le recepteur 150 permet a Tutilisateur du poste utilisateur 100 de prendre cormaissance 
d'informations transmises par le serveur de securite 170. 

20 La protection pare-feu 160 est de type materielle et/ou logicielle et interdit 

toute intrusion logicielle dans le serveur de securite 170. Le serveur de securite 170 est un 
serveur informatique de type connu. Enfin, le generateur de certificats 180 est adapte a 
generer des certificats jetables, par exemple de type conforme a la norme X509-V3. 

Le poste utilisateur 100 et le serveur de security 170 sont conjointement 

25 adaptes a mettre en oeuvre les operations indiquees ci-dessous. Par exemple, le serveur de 
securite 170 est adapte a foumir des routines applicatives ou "applets" au poste utilisateur 
100. 

Au d6but du processus de certification, on suppose que des donn6es sont a 
transmettre de maniere certifiee et signee depuis le poste utilisateur 100 jusqu'a la 
30 memoire de stockage 130. L'utilisateur du poste utilisateur 100 se connecte au serveur de 
securite 120 pour lancer le processus de certification. 

Au cours de Toperation 1, apres identification de Tutilisateur su poste 
utilisateur 100, Tapplication Intemet 110 t616charge une. routine applicative certifiee et 
signee dans le poste utilisateur 100. On observe que la routine applicative en question 
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peut n'etre telechargee que dans le cas ou une copie de cette routine n'est pas deja 
implantee dans le poste utilisateur 100. Cette caracteristique particuliere permet de rendre 
portable le procede de certification objet de la presente invention, sans ralentir ce 
processus dans le cas ou I'utilisateur met successivement en oeuvre le meme poste 
5 utilisateur 100, pour plusieurs certifications de donnees. Au cours de Toperation 2, le 

generateur de certificats 180 genere un certificat jetable, par exemple sous la forme d*une 
cle privee conforme a la norme X509-V3. Par exemple, le certificat jetable est genere 
aleatoirement par le generateur 180. 

Au cours de Top^ration 3, le serveur de securite 170 transmet le certificat 

10 jetable au poste utilisateur 100. Au cours de Top^ration 4, le poste utilisateur 100 met en 
oeuvre la routine applicative telechargee au cours de Top^ration 1 pour obtenir une trace 
des donnees k transmettre, appel6 condensa (en anglais "hash"), trace qui depend du 
certificat jetable gen&e au cours de Toperation 2 et des donnees a transmettre et qui 
permet la detection de toute modification ulterieure des donnees a transmettre. 

1 5 Au cours de I'operation 5, les donnees a transmettre et le condensa sont 

telecharges depuis le poste utilisateur 100 jusqu'a I'application Internet 1 10. De plus, des 
coordonnees de chaque destinataire des donnees a transmettre est transmis par le poste 
utilisateur 100 a Tapplication Internet 1 10. Ces coordonnees peuvent prendre la forme 
d'adresse de courrier electronique (en anglais "e-mail"), de numero de telephone ou de 

20 tout autre type d'information permettant de contacter chaque destinataire des donnees a 

transmettre. Au cours de Toperation 6, Tintegrite des donnees a transmettre est verifiee, en 
mettant en oeuvre la cle jetable g6neree au cours de I'operation 2 et le condensa. 

On observe qu'a la fin de Toperation 6, une copie des donnees k transmettre 
a ete faite depuis le poste utilisateur 100 dans Tapplication Intemet 1 10 et que cette copie 

25 est certifiee conforme a Toriginal grace a la mise en oeuvre d'lme cl6 jetable. Pour eviter 
que le certificat jetable soit r6utilise, au cours de Toperation 10, le certificat jetable est 
revoque, c'est-a-dire qu'il devient inutilisable pour certifier des donnees. 

En variante, le certificat jetable genere au cours de reparation 2 est un 
certificat a duree de vie tres courte, preferentiellement infSrieure a une heure. Dans cette 

30 variante, I'operation 10 n'est pas executee puisqu'au dela de la duree de vie du certificat 
jetable, ce certificat n*est pas utilisable pour certifier des donnees. 

Les operations 7 et 8 correspondent a un exemple de signature pouvant etre 
utilise en combinaison avec les operations 1 a 6 ci-dessus. Au cours de Toperation 7, un 
sceau secret est gen6re et transmis, par I'intermediaire du deuxi^me reseau 140, au 




recepteur 150. L'adresse du recepteur 150 sur le deuxieme r^seau est d^terminee en 
mettant en correspondance I'identifiant de I'utilisateur transmis au cours de l'op6ration 1 
avec ladite adresse, dans une table de correspondance. Preferentiellement, le sceau secret 
est calcule sur les elements de signature du document. Preferentiellement, le sceau secret 

5 depend des donnees a transmettre, de leur nombre, de leur contenu, de la date et de I'heure 
de la generation du sceau secret, de la cle privee de I'^metteur des donn6es d6terminee en 
correspondance avec I'identifiant de I'utilisateur transmis au cours de I'operation 1, de 
l'adresse internet ("adresse IP") du poste utilisateur 100 et/ou d'un numero de la session 
Internet au cours de laquelle les donntes sont transmises. Selon un exemple de mise en 

10 oeuvre de I'operation 7, le sceau secret est obtenu par calcul d'un condensa des donnees a 
transmettre, par exemple sous la forme d'une sequence de vingt symboles, de chif&ement 
de ce condensa par la cl6 priv6e de I'utilisateur du poste utilisateur 100, et d'extraction 
d'une partie du resultat de ce chififrement, par exemple huit symboles sur vingt. 

Le lecteur pourra se referer a la figure 4 et/ou a la demande de brevet 

1 5 PCT/FR98/02348 pour mieux connaitre des exemples d'^tapes mises en oeuvre au cours 
des operations 7 et 8. Au cours de I'operation 8, I'utilisateur commun du poste utilisateur 
100 et du recepteur 150 saisie le sceau secret et ce sceau secret est transmis au serveur de 
securite 170 ou le sceau est verifie, operation 9. 

En variante, les operations 7 a 9 sont remplac6es par une operation de 

20 signatiire basee sur I'utilisation d'une carte k m^moire ("carte a puce") ou d'une mesure de 
biometrie. 

A la fin de I'operation 8, les donn6es transmises sont done certifiees 
integres et signees par I'utilisateur qui les transmet. L*op6ration 9 consiste a substitiier une 
signatiire dite PKI (pour Public Key Infi^tinctiire, soit infirastructure de cles publiques) a 
25 la signature effectuee au cours des operations 7 et 8. 

Au cours de I'operation 9, les donnees transmises sont signees avec la cle 
privee de I'utilisateur qui les a transmise (dit "signataire" des donnees), 

Enfin, au cours de l'op6ration 1 1, les donnees transmises, certifiees et 
signees par cie privee sont ti-ansmises a la memoire de stockage 130 avec une date de telle 
30 maniere qu'elles sont horodatees, archivees et notarisee. 

Dans une application de la presente invention k une remise en main propre 
des donnees ti-ansmises, un destinataire est, k la suite de I'operation 1 1, averti de la mise k 
sa disposition des donnees k transmettre et des operations similaires aux operations 
exposees ci-dessus sont mises en oeuvre pour effectuer une copie certifiee conforme sur 
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le poste utilisateur du destinataire apres avoir recueilli de sa part une signature. Par 
exemple, une signature telle qu'exposee dans la demande de brevet PCT/FR98/02348 
peut, de nouveau etre mise en oeuvre pour authentifier le destinataire. Un exemple d'une 
succession d'operations mises en oeuvre pour cette remise en main propre est donne en 
5 figure 2. 

En figure 2 sent representes un poste utilisateur destinataire ou systeme 
informatique destinataire 200, 1'application Internet 1 10, la salle blanche 120, la memoire 
de stockage 130, le deuxieme reseau de communication 140 et im recepteur 250 sur le 
deuxieme reseau de communication 140. Les operations effectuees dans le mode de 

10 realisation particulier illustre en figure 2 sont representees dans des rectangles et 

numerotees de 13 a 25. Ces operations peuvent suivre les operations 1 a 12 illustrees en 
figure 1 et efifectuees en relation avec im poste utilisateur 100 generalement different du 
poste utilisateur 200. 

Le poste utilisateur destinataire 200 est, par exemple, im ordinateur 

1 5 personnel (PC), un ordinateur de reseau (NC) ou un assistant numerique personnel (en 
anglais Personal Digital Assistant ou PDA). Le poste utilisateur destinataire 200 est dote 
d'un logiciel de communication a distance pour mettre en oeuvre Tapplication Intemet 
110, conjointement avec le serveur de securite 170. Ce logiciel de communication a 
distance peut etre un logiciel de navigation ou un logiciel de courrier electronique, par 

20 exemple. 

L'application Intemet 1 10 permet la communication entre le poste 
utilisateur 200 et le serveur de securite 170 et la transmission de donnees depuis le poste 
utilisateur 200 vers la memoire de stockage 130, par exemple par Tintermediaire du 
serveur de securite 170. 

25 Le recepteur 250 sur le deuxieme reseau 140 peut, selon le type de 

deuxieme reseau 140, etre un t616phone mobile, un pageur ou im receptexir quelconque. 
Le recepteur 250 permet a Tutilisateur du poste utilisateur destinataire 200 de prendre 
cormaissance d'informations transmises par le serveur de securite 170. 

Le poste utilisateur destinataire 200 et le serveur de securite 170 sont 

30 conjointement adaptes a mettre en oeuvre les operations indiqu^es ci-dessous. Par 
exemple, le serveur de securite 170 est adapte a foumir des routines applicatives ou 
"applets" au poste utilisateur destinataire 200. 
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Au debut du processus de certification, on suppose que des donn6es sont a 
transmettre de maniere certifi6e et signee depuis la memoire de stockage 130 jusqu'au 
poste utilisateur destinataire 200. 

L'utilisateur du poste utilisateur destinataire 200 se connecte initialement 
au premier reseau, par exemple pour consulter des courriers electroniques. 

Au cours de I'operation 13, 1'application Internet 1 10 emet a destination du 
poste utilisateur destinataire 200 un courrier electronique (e-mail) qui indique que de 
I'information est mise a disposition de l'utilisateur du poste 200. 

Au cours de I'operation 14, l'utilisateur accede a 1'application interne 1 10 
en selectionnant son adresse Internet. Au cours de I'operation 15, 1'application Internet 
1 10 t616charge une routine applicative certifiee dans le poste utilisateur destinataire 200. 
On observe que la routine applicative en question peut n'Stre telechargee que dans le cas 
ou une copie de cette routine n'est pas deja implantte dans le poste utilisateur 200. Cette 
caracteristique particuliere permet de rendre portable le proc6d6 de certification objet de 
la presente invention, sans ralentir ce processus dans, le cas ou l'utilisateur met 
successivement en oeuvre le meme poste utilisateur destinataire 200, pour recevoir 
plusieurs ensembles donnees. On observe que les routines applicatives telechargees au 
cours des operations 1 et 15 peuvent etre identiques pour permettre d'une part la 
transmission de donnees vers la memoire 130 et, d'autre part, pour recevoir des donnees 

depuis cette memoire. 

Les operations 16 et 17 correspondent a un exemple de signature pouvant 
etre utilise en combinaison avec les operations 13 a 15 ci-dessus. Au cours de I'operation 
16, un sceau secret est g6n6r6 et transmis, par rinterm6diaire du deuxifeme reseau 140, au 
recepteur 250. Pr6f6rentiellement, le sceau secret est calculi sur les 616ments de signature 
du document. Pr6f6rentiellement, le sceau secret depend des donn6es k transmettre, de 
leur nombre, de leur contenu, de la date et de I'heure de la generation du sceau, et/ou d'un 
numero de la session Internet au cours de laquelle les donnees sont transmises. Le lecteur 
pourra se referer a la demande de brevet PCT/FR98/02348 pour mieux connaitre des 
exemples d'etapes mises en oeuvre au cours des operations 16 et 17. Au cours de 
I'operation 17, l'utilisateur commun du poste utilisateur destinataire 200 et du recepteur 
250 saisie le sceau secret sur le poste utilisateur destinataire 200 et ce sceau secret est 
transmis au serveur de securite 170 ou le sceau est verifie. A la fin de I'operation 17, les 
donnees transmises sont done certifiees integres et sign6es par l'utilisateur qui les 
transmet. 



En variante, les operations 1 6 et 17 sont remplacees par une operation de 
signature basee sur I'utilisation d'une carte a memoire ("carte a puce") ou d'une mesure de 
biometrie. 

Au cours de roperation 18, le generateur de certificats 180 genere un 
5 certificat de retrait, par exemple sous la forme d'une cle conforme a la norme X509-V3. 
Le certificat de retrait contient la cle publique de Tutilisateur du poste utilisateur 100. Au 
cours de Toperation 19, le serveur de securite 170 transmet le certificat de retrait au poste 
utilisateur destinataire 200. Au cours de I'operation 20, Tapplication 110 determine un 
condensa des donnees a transmettre, qui depend du certificat de retrait gener6 au cours de 

1 0 I'operation 1 8 et des donnees a transmettre et qui permet la detection de toute 
modification ulterieure des donnees a transmettre. 

Au cours de I'operation 21, les donnees a transmettre et le condensa sont 
telecharges depuis I'application Internet 1 10 jusqu'au poste utilisateur destinataire 200. Au 
cours de I'operation 22, Tintegrite des donnees a transmettre est verifiee, en mettant en 

1 5 oeuvre la cle publique contenue dans le certificat de retrait genere au cours de I'operation 
1 8 et le condensa. 

On observe qu'a la fin de I'operation 22, une copie des donnees a 
transmettre a ete faite depuis la memoire de stockage 130 jusqu'au poste utilisateur 
destinataire 200 et que cette copie est certifiee conforme a I'original grace a la mise en 

20 oeuvre d'une cle jetable. Au coxirs de I'operation 23, un accuse de reception d'integrite est 
transmis depuis le terminal utilisateur destinataire 200 vers le serveur de securite 170. Get 
accuse de reception d'integrite temoigne que les donnees a transmettre ont ete transmises 
au terminal utilisateur destinataire 200 de maniere integre, c'est a dire que les donnees a 
transmettre n'ont pas ete modifiees apres I'operation 20. 

25 Au cours de I'operation 24, une trace de la transmission des donnees a 

I'utilisateur destinataire est certifiee et memorisee dans la memoire de stockage 130. Cette 
date est associee aux donnees transmises et est ainsi horodatees, archivees et notarisee. 
Au cours de I'operation 25, le serveur de securite met a disposition de I'emetteur des 
doimees transmises im accuse de reception qui I'informe que les donnees qu'il a transmise 

30 au cours de I'operation 4 ont 6t6 refues par I'un de leur destinataire. On observe qu'im 
accuse de reception est transnus a Temetteur des donnees pour chacun des destinataires 
des doimees. 

En figure 3 sont repr6sent6s le poste utilisateur ou systeme informatique 
emetteur 100, une application Internet 310, la salle blanche 120, la memoire de stockage 
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130, le deuxieme reseau de communication 140 et le recepteur 150 sur le deuxieme 
reseau de communication 140. Les operations effectuees dans le mode de realisation 
particulier illustre en figure 3 sont representees dans des rectangles et numerotees de 3 1 a 
42. L'application Internet 310 et la salle blanche sont conjointement appelees systeme 
informatique recepteur. 

Le poste utilisateur 100 et le serveur de securite 170 sont conjointement 
adapt6s k mettre en oeuvre les operations 3 1 a 42 indiquees ci-dessous. Au debut du 
processus de certification, on suppose que plusieurs ensembles de donnees sont k 
transmettre de maniere certifiee et signee depuis le poste utilisateur 100 jusqu'a la 
memoire de stockage 130. L'utilisateur du poste utilisateur 100 se connecte au serveur de 
security 120 pour lancer le processus de certification. 

Au cours de Top^ration 31, apres identification de l'utilisateur du poste 
utilisateur 100, l'application Internet 310 telecharge une routine applicative certifiee dans 
le poste utilisateur 100. On observe que la routine applicative en question peut n'etre 
telechargee que dans le cas ou une copie de cette routine n'est pas deja implantee dans le 
poste utilisateur 100. Cette caracteristique particuliere permet de rendre portable le 
precede de certification objet de la presente invention, sans ralentir ce processus dans le 
cas oil rutilisateur met successivement en oeuvre le meme poste utilisateur 100, pour 
plusieurs certifications de donnees. Au cours de I'operation 32, le generateur de certificats 
180 genere un certificat jetable, par exemple sous la forme d'une cle privee conforme a la 
norme X509-V3. Par exemple, le certificat jetable est genere aleatoirement par le 
g6n6rateur 180. 

Au cours de I'operation 33, le serveur de securite 170 transmet le certificat 
jetable au poste utilisateur 100. Au cours de I'operation 34, l'utilisateur selectionne 
explicitement chacun des ensembles de donn6es k transmettre. Par exemple, l'utilisateur 
du poste utilisateur 100 selectionne, un par un, des fichiers k transmettre, chaque fichier 
constituant un ensemble de doim6es a transmettre. 

Toujours au cours de I'operation 34, le poste utilisateur 100, met en oeuvre 
la routine applicative telechargee au cours de I'operation 31 pour obtenir un condensa de 
chacun des ensembles de donnees k transmettre, qui depend du certificat jetable genere au 
cours de I'operation 32 et des donnees dudit ensemble. Chaque condensa permet la 
detection de toute modification ulterieure d'un ensemble de donnees a transmettre. 

Au cours de I'operation 35, les ensembles donnees k transmettre et les 
condensa sont teiecharges depuis le poste utilisateur 100 jusqu'^ l'application Internet 
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3 10. De plus, des coordonnees de chaque destinataire de chaque ensemble de donnees a 
transmettre est transmis par le poste utilisateur 100 a rapplication Internet 110. Ces 
coordonnees peuvent prendre la forme d'adresse de courrier electronique (en anglais "e- 
mail"), de numero de telephone ou de tout autre type d'information permettant de 
5 contacter chaque destinataire des donnees a transmettre. Au cours de I'operation 36, 

i'integrite des ensembles de donnees a transmettre est v6rifiee, en mettant en oeuvre la cle 
jetable generee au cours de I'operation 32 et les condensa. 

On observe qu'a la fm de I'operation 36, une copie des ensembles de 
donnees a transmettre a ete faite depuis le poste utilisateur 100 dans I'application Intemet 

10 3 10 et que cette copie des ensembles de donnees est certifiee conforme a I'original grace a 
la mise en oeuvre d'une cle jetable. Pour eviter que le certificat jetable soit reutilise, au 
cours de Toperation 40, le certificat jetable est revoque, c*est-a-dire qu41 devient 
inutilisable pour certifier des ensembles de donnees. 

En variante, le certificat jetable genere au cours de I'operation 32 est un 

1 5 certificat a dur^e de vie tres courte, preferentiellement inferieure a une heure. Dans cette 
variante, Toperation 10 n'est pas executee puisqu'au dela de la dur6e de vie du certificat 
jetable, ce certificat n'est pas utilisable pour certifier des donnees. 

Les operations 37 et 38 correspondent a un exemple de signature pouvant 
etre utilise en combinaison avec les operations 3 1 a 36 ci-dessus. Au cours de Toperation 

20 37, un sceau secret est genere et transmis, par rinterm6diaire du deuxieme r6seau 140, au 
recepteur 150. L'adresse du recepteur 150 sur le deuxieme reseau est determinee en 
mettant en correspondance I'identifiant de I'utilisateur transmis au cours de I'operation 3 1 
avec ladite adresse, dans une table de correspondance. Preferentiellement, le sceau secret 
depend des donnees a transmettre, de leur nombre, de leur contenu, de la date et de I'heure 

25 de la generation du sceau secret, de la cle privee de I'emetteur des donnees determinee en 
correspondance avec Tidentifiant de Tutilisateur transmis au cours de Toperation 1, de 
l'adresse intemet ("adresse IP") du poste utilisateur 100 et/ou d'lm num6ro de la session 
Intemet au cours de laquelle les donnees sont transmises. Selon un exemple de mise en 
oeuvre de I'operation 7, le sceau secret est obtenu par calcul d'un condensa des donn6es a 

30 transmettre, par exemple sous la forme d'une sequence de 20 symboles, de chiffrement de 
ce condensa par la cle privee de I'utilisateur du poste utilisateur 100 et d'extraction d'une 
partie du resultat de ce chiffrement. 

Le lecteur pourra se referer a la figure 4 et/ou a la demande de brevet 
PCT/FR98/02348 pour mieux connaitre des exemples d'etapes mises en oeuvre au cours 




des operations 37 et 38. Au cours de I'operation 38, 1'utilisateur commun du poste 
utilisateur 100 et du recepteur 150 saisie ie sceau secret et ce sceau secret est transmis au 
serveur de s6curite 1 70 ou le sceau est verifie, operation 39. 

En variante, les operations 37 a 39 sont remplacees par une operation de 
signature bas6e sur I'utilisation d'une carte a memoire ("carte a puce") ou d'une mesure de 
biometrie. 

A la fin de roperation 38, les ensembles de donnees transmis sont done 
certifi6es intdgres et sign6es par rutilisateur qui les transmet. L'operation 39 consiste a 
substituer une signature dite PKI (pour Public Key Infrastructure, soit infi-astructure de 
cles publiques) a la signature effectu^e au cours des operations 37 et 38. 

Au cours de reparation 39, les ensembles de donnees transmis sont signes 
avec la cl6 privee de I'utilisateur qui les a transmise (dit "signataire" des donnees). 

Enfin, au cours de l'operation 41, les ensembles de donnees transmises, 
certifiees et signees par cle privee sont transmises a la memoire de stockage 130 avec une 
date de telle maniere qu'eiles sont horodatees, archiv^es et notarisee. 

Dans une application de la presente invention a une remise en main propre 
des ensembles de donnees transmises, pour chaque ensemble de donnees a transmettre, un 
destinataire est, a la suite de I'operation 41, averti de la mise a sa disposition de 
I'ensemble de donnees a transmettre et des operations similaires aux operations exposees 
ci-dessus sont mises en oeuvre pour effectuer une copie certifiee conforme sur le poste 
utilisateur du destinataire apres avoir recueilli de sa part une signature. Un exemple d'lme 
succession d'op6rations mises en oeuvre pour cette remise en main propre est donne en 
figure 2. 

La figure 4 repr6sente un organigranune de mise en oeuvre d'lm.autre 
mode de realisation de la presente invention. Dans la colonne la plus a gauche de la figure 
4 sont representees des operations concemant un systeme informatique dit "emetteur" 401 
mettant en oeuvre im premier support de communication. Dans la colonne a droite de la 
colonne la plus a gauche sont representees des operations concemant un premier 
dispositif de communication 402 mettant en oeuvre un deuxieme support de 
communication. Dans la colonne centrale sont representees des operations concemant un 
systeme informatique 403 dit "recepteur" mettant en oeuvre le premier, le deuxieme, un 
troisieme et un quatrieme support de communication. Dans la colonne la plus k droite 
sont representees des operations concemant un systeme informatique 405 dit 
"destinataire" mettant en oeuvre le troisieme support de communication. Enfin, dans la 
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colonne entre la colonne centrale et la colonne la plus a droite, sont representees des 
operations concemant un deuxieme dispositif de communication 404 mettant en oeuvre le 
quatrieme support de communication. 

Le systeme informatique emetteur 401 et le premier dispositif de 
5 commimication 402 sont utilises par un utilisateur qui souhaite transmettre des dormees a 
un utilisateur destinataire qui utilise le deuxieme dispositif de communication 404 et le 
systeme informatique destinataire 405. Par exemple, le systeme informatique emetteur 
401 est un ordinateur personnel, ou xm ordinateur de reseau, connecte au reseau Internet. 
Par exemple, le systeme informatique destinataire 405 est un autre ordinateur persoimel, 

10 ou un autre ordinateur de reseau, connecte au reseau Internet. Les premier et troisieme 
reseau peuvent etre confondus ou differents. Le premier et le troisieme reseaux peuvent 
ainsi etre Tlntemet. 

Les deuxieme et quatrieme reseaux peuvent, en particulier etre des reseaux 
non filaires. Par exemple, le premier dispositif de communication 402 est un telephone 

1 5 mobile ou un pageur. Par exemple, le deuxieme dispositif de communication 404 est un 
telephone mobile ou un pageur. Les deuxieme et quatrieme reseaux peuvent etre 
confondus ou differents. En revanche, le premier et le deuxieme support de 
communication sont different. De plus, le troisieme et le quatrieme support de 
conununication sont differents. Preferentiellement, les dispositifs de communication 401 

20 et 404 possedent des adresses uniques sur le deuxieme et le quatrieme reseau de 
communication, respectivement. 

Selon un exemple de realisation, le systeme informatique recepteur 403 est 
un serveur de reseau connecte a des interfaces de reseau pour communiquer sur les 
premier a quatrieme reseaux. Dans la suite de la description de la figure 4, on considere 

25 que le systeme informatique recepteur 403 conserve des moyens necessaires pour obtenir 

- une cle privee et une cle publique d'un utilisateur du systeme informatique 
emetteur 401, 

- I'adresse du premier dispositif de communication 402 sur le deuxieme support 
30 de commimication, et 

- Tadresse du deuxieme dispositif de commimication 404 sur le quatrieme 
support de conununication. 

Par exemple, le systeme informatique recepteur 403 conserve en memoire 
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- la cle privee et la cle publique de chaque utilisateur susceptible de mettre en 
oeuvre le precede decrit en figure 4, 

- une table de correspondance entre des identifiants d'utilisateurs et des adresses 
sur le deuxieme support de communication, et 

- un moyen d'interroger une base de donnees conservant une table de 
correspondance entre des identifiants d'utilisateurs destinataires et des adresses 
sur le quatrieme support de communication. 

Selon une variante, I'adresse de I'utilisateur destinataire sur le quatrieme 
r^seau est obtenue de la part de I'utilisateur emetteur, comme dans le cas illustre en figure 
4. 

Les operations de demarrage et d'initialisation et les operations d'arret des 
systemes informatiques et des dispositifs de communication ne sont pas representees en 
figure 4. 

Au cours d'une operation 408, le systeme informatique emetteur 401 se 
connecte au systeme informatique recepteur 403, par Tintermediaire du premier support 
de communication. Au cours d'une operation 409, le systeme informatique recepteur 403 
transmet au systeme informatique emetteur 401 un programme permettant de determiner 
un condensa de donnees a transmettre. 

Au cours d'operations de transmission 410 et 411, le systeme informatique 
Emetteur 401 transmet au systeme informatique recepteur 403, sur le premier support de 
communication : 

- des donn6es transmettre au systeme informatique destinataire 405 , 

. vm condensa des donnees a transmettre determine avec le programme transmis 
au covirs de I'operation 409, 

- un identifiant d'un utilisateur du systeme informatique 6metteur 401 ou un 
identifiant du systeme informatique emetteur 401, et 

- un identifiant du systeme informatique destinataire 405 et une adresse du 
deuxieme moyen de communication 404. 

Au covirs d'une operation de mise en correspondance 412, le systeme 
informatique recepteur 403 met en correspondance ledit identifiant avec une cle privee de 
I'utilisateur du systeme informatique Emetteur 401. 

Au cours d'une op6ration de generation 413, le systeme informatique 
recepteur 403 g6nere une trace des donn6es k transmettre. La trace est representative des 
donnees k transmettre. Preferentiellement, ladite trace est representative d'un condensi 
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desdites donnees a transmettre et de la cle privee conservee par le systeme informatique 
recepteur 403. Par exemple, ladite trace est obtenue par une operation de signature du 
condensa par la cle privee de Tutilisateur du systeme informatique emetteur 401. Ainsi, 
ladite trace est liee audites donnees et toute modification ulterieure desdites donnees est 
5 detectable. De plus, la source desdites donnees est ainsi authentifiee par la cle privee de 
I'utilisateur. 

Au cours d'une operation de mise en correspondance 414, 1'identifiant de 
rutilisateur du systeme informatique emetteur 401 est mis en correspondance avec ime 
adresse du dispositif de conmiunication 402 sur le deuxieme support de commxmication. 

10 Au cours d'une operation de transmission 415 d*une partie de ladite trace, 

au moins une partie de la trace determinee au cours de I'operation 413 est transmise par le 
systeme informatique recepteur 403 au premier dispositif de communication 402. Par 
exemple, Toperation de transmission 415 comporte au cours de I'operation de troncature 
416 au cours de laquelle la trace determinee au cours de Toperation 413 est tronquee et le 

1 5 resultat de ladite troncature est transmis au premier dispositif de conunimication 402. 

Au cours d'une operation de reception 417, ladite partie de trace est re9ue 
par le systeme informatique emetteur 401. Par exemple, le premier dispositif de 
communication 402 affiche ladite trace sur un 6cran de visualisation et I'utilisateur du 
premier dispositif de communication 402 tape ladite trace sur un clavier du systeme 

20 informatique emetteur 401 . Selon des variantes, I'utilisateur emetteur dicte ladite partie de 
trace qui est reconnue par un systeme de reconnaissance de voix ou Tutilisateur emetteur 
foumit ladite partie de trace au systeme informatique emetteur 401 par le biais d'une 
interface utilisateur quelconque. 

Au cours d'une operation de transmission de ladite partie trace 4.18, ladite 

25 partie de trace est transmise depuis le systeme informatique emetteur 401 au systeme 
informatique recepteur 403. 

Au cours d'une operation de verification 419, le systeme informatique 
recepteur verifie la correspondance de la partie de trace refue par le systeme informatique 
recepteur 403 avec la trace gen^ree par le systeme informatique recepteur 403. La 

30 correspondance est, dans Texemple de la figure 4, une 6galite entre la trace emise et la 
trace re^ue. S'il n'y a pas correspondance, le systeme informatique recepteur indique a 
I'utilisateur emetteur qu'il n'a pas ete authentifie, par le biais du premier support de 
communication ou par le biais du deuxieme support de commimication et invite 
I'utilisateur emetteur a reconmiencer les operations illustrees en figure 4. 
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S'il y a correspondance, au cours d'une operation de mise en 
correspondance 420. le systeme informatique recepteur 403 met en correspondance 
lesdites donnees avec une cle publique de rutilisateur emetteur. 

Au cours d'une operation de communication 421 , le systeme informatique 
5 rdcepteur 403 transmet un message, par exemple un courrier ^ectronique, a I'utilisateur 
destinataire I'invitant a se connecter par le biais du troisieme support de communication 
au systeme informatique recepteur 403. 

Au cours d'une operation de connexion 422, I'utilisateur destinataire 
effectue la connexion entre le systdme informatique destinataire 405 et le systeme 

1 0 informatique recepteur 403 . 

Au cours d'une operation de generation d'une information confidentielle 
423, le systeme informatique recepteur 403 genere une information confidentielle. Au 
cou^s d'une operation de transmission 424, le dispositif recepteur 403 transmet ladite 
information confidentielle au deuxieme dispositif de communication 404, par le biais du 
15 deuxieme support de communication. 

Au cours d'une operation de reception 425, ladite information 
confidentielle est refue par le systeme informatique destinataire 405. Par exemple, le 
deuxieme dispositif de communication 404 affiche ladite information confidentielle sur 
un ecran de visualisation et I'utilisateur du deuxieme dispositif de communication 404 
20 tape ladite information confidentielle sur un clavier du systeme informatique destinataire 
405. Selon des variantes. I'utilisateur destinataire dicte ladite information confidentielle 
qui est reconnue par un systeme de recomiaissance de voix ou I'utilisateur destinataire 
foumit ladite information confidentielle au systeme informatique destinataire 405 par le 
biais d'une interface utilisateur quelconque. 
25 Au cours d'une operation de transmission de ladite information 

confidentielle 426, ladite information confidentielle est transmise depuis le systeme 
informatique destinataire 405 au systeme informatique recepteur 403. 

Au cours d'une operation de verification de correspondance 427, le 
systeme informatique recepteur 403 v6rifie la correspondance entre I'information 
30 confidentielle transmise par le systeme informatique recepteur 403 et I'information 
confidentielle re5ue par le systfeme informatique recepteur 403. S'il n'y a pas 
correspondance, le dispositif informatique recepteur 403 indique k I'utilisateur destinataire 
qu'il n'a pas 6t6 authentifi6. par le biais du troisieme ou du quatrifeme support de 
communication et I'invite a recommencer les operations 422 et suivantes. 




Lorsqu'il y a correspondance, au cours d'une operation de transmission des 
donnees au systeme informatique destinataire 428, ie systeme informatique recepteur 403 
transmet au systeme infomiatique destinataire 405 ies donnees a transmettre. 
Pr^ferentiellement, le systeme informatique 403 transmet conjointement aux donnees a 
5 transmettre : 

une cl6 publique de Tutilisateur emetteur au systeme informatique destinataire 
405, 

la trace desdites donnees a transmettre calculee au cours de Toperation , et 
un programme permettant de determiner ledit condensa desdites donnees. 
1 0 Au cours d'une operation 429, le systeme informatique destinataire 

determine le codensa desdites donnees a transmettre calcule au cours de I'operation 413 et 
utilise la cle publique refue au cours de Toperation 428 pour determiner le condensa 
desdites donnees qui a servi a generer la trace transmise au cours de I'operation 428. 
Lorsque les deux condensa sont egaux, Tutilisateur destinataire a Tassurance que c'est 
1 5 Tutilisateur emetteur qui a transmis les donnees a transmettre et que ces doimees n'ont pas 
ete modifiees depuis qu*elles ont ete transmises par I'utilisateur emetteur. 

Selon des variantes, les operations presentees en figures 1 , 2 ou 3 et les 
operations presentees en figure 4 sont combinees de telle msmiere que, dans ces variantes, 
ime cl6 jetable est utilisee pour la transmission des donnees d'un systeme informatique a 
20 vm autre et une trace qui depend des donnees a transmettre et, eventuellement d'une cle 
privee de Tutilisateur emetteur, est mise en oeuvre. 




REVENDICATIONS 



1. Procede de certification, caractdrise en ce qu'il comporte : 

- line operation de transmission (4, 5) de donnees depuis un systeme 
informatique emetteur (100) a un systeme informatique recepteur (130), sur un 
premier support de communication, 

- une operation de g6n6ration (7) d'une trace desdites donnees representatives 
desdites donnees, par le systeme informatique recepteur, 

- une operation de transmission (7) d'une partie de ladite trace a un dispositif de 
communication, sur vin deuxieme support de commimication different du 
premier support de commuaiication, 

- une operation de reception (8) de ladite partie de trace par le systeme 
informatique emetteur, 

- une operation de transmission (8) de ladite partie trace depuis le systeme 
informatique emetteur au systdme informatique recepteur, et 

- une operation de verification (9) de la correspondance de la partie de trace 
re9ue par le systeme informatique recepteur avec la trace generee par le 
systeme informatique recepteur. 

2. Procede selon la revendication 1 , caracterise en ce que, au cours de ladite 
operation de g6n6ration de ladite trace, ladite trace est representative d'un condensa 
desdites donnees. 

3. Proced6 selon I'une quelconque des revendications 1 ou 2, caracteris^ en ce qu'il 
comporte une operation de transmission (1) d'un identifiant d'un utilisateur du systdme 

informatique emetteur. 

4. Proced6 selon la revendication 3, caracterise en ce qu'il comporte une operation de 
mise en correspondance (7) dudit identifiant avec une adresse du dispositif de 
communication sur le deuxieme support de communication. 

5. Procede selon I'une quelconque des revendications 1 a 4, caract6ris6 en ce que, au 
cours de ladite operation de generation de ladite trace, ladite trace est representative d'une 
cle privee conservee par le systeme informatique recepteur. 

6. Procede selon I'une quelconque des revendications 3 ou 4 et selon la revendication 
5, caract6ris6 en ce qu'il comporte une operation de mise en correspondance (7) dudit 
identifiant avec ladite cl6 priv6e. 



7. Procede selon I'une quelconque des revendications 1 a 6, csiracterise en ce qu*il 
comporte une operation de troncature (7) de ladite trace, et en ce que au cours de 
Toperation de transmission d*une partie de ladite trace, le resultat de ladite troncature est 
transmis. 

5 8. Procede selon Tune quelconque des revendications 1 a 7, caracterise en ce que le 

premier support de communication est Tlntemet. 

9. Procede selon Tune quelconque des revendications 1 a 8, caract6rise en ce que le 
deuxieme support de commimication est un reseau sans fil. 

1 0. Procede selon Tune quelconque des revendications 1 a 9, caracterise en ce que, au 
10 cours de Toperation de transmission desdites doimees (5), un identifiant d'un systeme 

informatique destinataire est transmis, ledit procede comportant une operation de 
transmission desdites donnees depuis le systeme informatique recepteur a im systeme 
informatique destinataire. 

1 1 . Procede selon la revendication 10, caracterise en ce qu'il comporte une operation 
15 de mise en correspondance desdites donnees avec ui\e cle publique et en ce que au cours 

de Toperation de transmission desdites donnees audit systeme informatique destinataire, 
ladite cle publique est transmise. 

12. Procede selon Tune quelconque des revendications 10 ou 1 1, caracterise en ce qu'il 
comporte une operation de generation d'une information confidentielle par le systeme 

20 informatique recepteur et une operation de transmission a un deuxieme dispositif de 

commimication d'une information confidentielle a une dispositif de commimication sur le 
deuxieme support de communication, par le systeme informatique recepteur, une 
operation de reception de ladite information confidentielle par le systeme informatique 
recepteur, sur le premier moyen de communication et une operation de verification de 

25 correspondance entre Tinformation confidentielle transmise par le systeme informatique 
recepteur avec I'information confidentielle refue par le systeme informatique recepteur. 

13. Dispositif de certification, caracterise en ce qu'il comporte : 

un moyen de transmission de donnees depuis un systeme informatique emetteur a 
un systeme informatique recepteur, sur un premier support de conmiunication, 
30 - tm moyen de generation d*un trace desdites donnees representatives desdites 

doimees, par le systeme informatique recepteur, 

un moyen de transmission d'au moins une partie de ladite trace k un dispositif de 
communication, sur un deuxieme support de conmiunication different du premier support 
de conmiunication. 



22 

- un moyen de reception de ladite trace par le systeme informatique emetteur, 

- un moyen de transmission de ladite trace depuis le systeme informatique emetteur 
au systeme informatique recepteur, et 

un moyen de verification de la correspondance de la trace re9ue par le systeme 
informatique recepteur et de la trace generee par le systeme informatique recepteur. 
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